本文是华安论坛perlish的回帖,原帖是《请推荐一款数据库审计产品》
写的很犀利,也针对目前的数据库审计市场的做法提出了质疑
游侠认为,不仅仅是数据库审计,一些别的产品也是如此 🙂
销售、售前,都可以看看:用户最关心什么?凭什么打动用户?
转载没有征得发帖人同意……在此表示感谢。
分类: 程序
从团购网的漏洞看网站安全性问题 [ZT]
自从9月份在同事推荐下在某团购网买了一份火锅的套餐后,就迷上了,几乎每天必去浏览一遍,看看有什么又便宜又好吃的。元旦期间当然也不例外,1号那天上午,看到了XXX团购网的“VIP会员0元领红包”活动,0元?我最喜欢了,虽然参与过很多次0元抽奖的活动,一次也没中,但是人总是有一种信念相信自己的运气的。于是果断进去注册,点击购买,进入了购物车再点击确认订单,恩?怎么alert这么一句“本活动只限VI
风讯网站管理系统awardAction.asp页面存在SQL注入
发布日期:2010-06.26
信息来源:WAVDB
影响版本:FooSun > 5.0
程序介绍:FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。
漏洞分析:
在文件\User\award\awardAction.asp中:
Integral=NoSqlHack(request.QueryString(“Integral”)) //第14行
if action=”join” then
User_Conn.execute(“Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values(“&CintStr(prizeID)&”,'”&session(“FS_UserNumber”)&”‘,”&CintStr(awardID)&”)”)
…
数据库安全十大漏洞
这篇文章给出了一个国外厂商调查分析出来的十大数据库安全漏洞:
1.默认、空白及弱用户名/密码
2.SQL注入
3.广泛的用户和组权限
4.启用不必要的数据库功能
5.失效的配置管理
6.缓冲区溢出
7.特权升级
8.拒绝服务攻击
9.数据库未打补丁
10.敏感数据未加密
此前,另一个公司也给出过数据库安全十大威胁,两者基本一致。
威胁 1 – 滥用过高权限
威胁 2 – 滥用合法权
威胁 3 – 权限提升
威胁 4 – 平台漏洞
…
网路游侠——Nessus浏览器打不开的解决方法
不止在一个地方看到说安装了Nessus 4.2.0后,能ping通Server,但用浏览器却连不上的情况。昨天游侠(www.youxia.org)也遇到了……开启服务后,能ping通服务器,就是浏览器连不上。
保护数据库安全 实时合规审计必不可少
目前数据库市场价值已经超过200亿美元,并且存储的敏感信息的数量也在迅速增长,这也难怪数据库成为当今安全攻击的最大目标。毕竟,数据库包含着客户信用卡信息、金融数据和知识产权等“诱饵”。有些强大而复杂的攻击者能够通过非法途径打开数据库以进行恶意操作,你甚至可以将数据库看作是公司的命脉。
在很多企业中,对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾问经常能够在没有太多限制的情况下访问敏感信息。另外,人员流动和外包也可以让数据库活动很难锁定。
虽然数据库要求符合大多数合规要求,包括信用卡行业数据安全标准(PCI DSS)、Sarbanes-Oxley法案和HIPAA法案以及FISMA等,但是数据库往往很难满足所有合规要求,并且合规并不总是企业的最优先事项。
…
“安鼎数据库安全访问中间件”简介
概述
安鼎数据库安全访问中间件是为增强普通关系数据库管理系统的安全性而设计开发的,旨在提供一个安全适用的数据库加密平台,对通信和数据库存储的内容实施有效保护。
该系统中通过通信加密、数据库存储加密等安全方法实现了数据库数据存储和通信的保密和完整性要求。具有自主知识产权的加密算法和密文查询算法在保证安全性的同时兼顾了系统的效率,使数据库的加密达到实用化水平。
系统采用开放的体系结构,支持标准SQL语句,提供了ODBC、OLEDB和JDBC支持,也提供调用级接口(CLI)。
系统已经运行的平台有AIX、Solaris、Sco Open Server、Linux、Windows NT/2000/XP,支持的数据库管理系统有DB2、Oracle、Sybase、Microsoft SQL Server。
…
GUARDIUM数据库安全审计解决方案特点和优势
GUARDIUM数据库安全审计解决方案的突出特点和优势:
1.可以同时支持监控管理多种数据库(ORACLE/SYBASE/INFORMIX/DB2/SQL SERVER/TERADATA/MYSQL )的各种版本;
2.同时支持多种企业级应用(ORACLE E-BUSINESS SUITE/PEOPLESOFT/SIEBEL/JD EDWARDS/SAP/BUSINESS OBJECTS)、应用服务器/中间件服务器(WEBSPHERE/WEBLOGIC/TUXEDO/ORACLE APPLICATION SERVER/JBOSS/.NET/APACHE/TOMCAT/MQ & etc);
…
数据库服务器成黑客最爱 7成攻击针对企业数据
【51CTO.com快译6月22日外电头条】如今顶尖的黑客一定都是顶尖的商人!因为他们的评估记录上会写着哪些目标最简单,哪些目标最有利可图。现在,可能没有比笨拙的企业数据库更好对付的目标了。
一般来说,企业的数据库中汇集着这家公司最重要的机密:客户名单、工资记录、以及其他许多按照良好结构储存的敏感信息,这些都是最容易卖出好价钱的。何况数据库的管理员们往往不会想在安全性上精益求精,而且数据
专家谈:确保安全 数据库审计成燃眉之急
由于数据库的作用和影响越来越大,企业数据库信息安全面临的安全威胁日渐明显。近年来不断发生的重要敏感数据被窃取、篡改问题,已经引起各方面的高度重视,成为迫切需要解决的问题。
SA弱口令带来的安全隐患
【51CTO.com 独家特稿】存在Microsoft SQL Server SA弱口令漏洞的计算机一直是网络攻击者青睐的对象之一,通过这个漏洞,可以轻易的得到服务器的管理权限,从而威胁网络及数据的安全。作为网络管理员,我们可不能不闻不问,一定要弄清楚这其中的起因、经过和结果,才能有的放矢,做到更为有效的防范,下面我就详细的向大家介绍一下。
Microsoft SQLServer是一
MSSQL注入攻击服务器与防护
前言:在各种网络上的服务器上,只要黑客能成功入侵不同配置的服务器,都会得到一定的权限,比较GUEST或SYSTEM权限等,但这些权限都是由于服务器管理员的配置不当或缺少管理经验而让黑客成功入侵的,只要我们给服务器上各种危险的组件及命令都加上一定的权限设置,那么就会得到最大的安全。下面我们来介绍一下NT系统下权限与黑客的较量,当然的的NT服务器不能是FAT32分区的,你的NT服务器必须采用NTF
Microsoft SQL Server SA弱口令攻防实战
【51CTO.com 独家特稿】Microsoft SQLServer是一个c/s模式的强大的关系型数据库管理系统,应用领域十分广泛,从网站后台数据库到一些MIS(管理信息系统)到处都可以看到它的身影。我们都知道,在网络中Microsoft SQLServer的入侵最常见的就是利用SA弱口令入侵了,而核心内容就是利用Microsoft SQLServer中的存储过程获得系统管理员权限,那到底什么是
收藏的 Transact_SQL 小手册
*******************Transact_SQL********************
–语 句 功 能
–数据操作
Select –从数据库表中检索数据行和列
Insert –向数据库表添加新数据行
Delete –从数据库表中删除数据行
PHP万能密码
摘录如下:
说实话如果一个网站的前台都是注入漏洞,那么凭经验,
万能密码进后台的几率基本上是百分之百.
可是有的人说对PHP的站如果是GPC魔术转换开启,
就会对特殊符号转义,就彻底杜绝了PHP注入.
其实说这话的人没有好好想过,更没有尝试过用万能密码进PHP的后台.
其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有.
如果你用这样的万能密码’or’=’or’,当然进不去,